Támadások/Breaches
Pénzügyi motivációjú támadók szélesebb körű támadásokhoz élhetnek vissza az ellopott forráskóddal
A múlt héten nyilvánosságra került, hatalmas Adobe-betörés első pillantásra nem illik bele egy tiszta kiberbűnözési támadás profiljába: A rosszfiúk nemcsak ügyféladatokat és bankkártya-információkat loptak el a szoftvercégtől, hanem az Adobe ColdFusion, Acrobat és Reader szoftverének forráskódját is elcsenték.
Még mindig nem világos, hogy a támadók hogyan jutottak hozzá az Adobe ügyféladataihoz és forráskódjához, és ha egyáltalán, mit tettek, hogy csalási céllal manipulálják a forráskódot. Az azonban világos, hogy a támadók szándékosan vagy véletlenül hozzáfértek mind az Adobe értékes pénzügyi ügyféladataihoz, mind a szellemi tulajdonához – így több lehetőségük is nyílt a pénzszerzésre.
“Ezek a fickók pénzügyileg orientáltak” – mondja Alex Holden, a Hold Security CISO-ja, aki Brian Krebsszel (KrebsOnSecurity) együtt felfedezte a 40 gigabájtnyi Adobe forráskódot ugyanazon a szerveren, mint a LexisNexis, Dun & Bradstreet, Kroll és mások ellopott adatait. “Hogy ők férhettek-e hozzá előbb a forráskódhoz… azt még nem tudni.”
Az Adobe csütörtökön késő este hozta nyilvánosságra, hogy a hálózata elleni masszív, “kifinomult támadások” következtében érzékeny adatokat, köztük 2,9 millió ügyfél bankkártyaadatait, valamint több Adobe szoftvertermék, köztük az Adobe Acrobat, a ColdFusion, a ColdFusion Builder és más Adobe szoftverek forráskódját lopták el. Brad Arkin, az Adobe biztonsági vezetője szerint a támadások összefügghetnek egymással.
A Hold Security munkatársa, Holden szerint a támadók a jelek szerint legalább két hónapja birtokában voltak az ellopott adatoknak. Azt mondja, az egyik legnagyobb aggodalma az, hogy egy olyan nulladik napi támadás lehet folyamatban az Adobe alkalmazásai ellen, amelyet még nem észleltek. “Lehet, hogy magas szintű célpontokat támadtak meg. Ez egy rendkívül nyugtalanító és ijesztő gondolat” – mondja Holden.
A kiberbűnözők jellemzően az ellopott bankkártyaadatokkal vagy felhasználói hitelesítő adatokkal próbálnak gyorsan pénzt csinálni. Bár az Adobe szerint az ellopott Adobe ügyfélkártya-adatok titkosítva voltak, a biztonsági szakértők szerint lehetséges, hogy a támadók képesek voltak megszerezni a titkosítási kulcsokat vagy feltörni a titkosítást, annak erősségétől és megvalósításától függően.
A támadók pénzzé tehették a forráskódot például az Adobe-alkalmazások kihasználási lehetőségeinek felkutatásával és értékesítésével – mondják a szakértők. Vagy egyszerűen csak megtarthatják maguknak az exploitokat, hogy a jövőbeni szélesebb körű támadásokban használják fel őket.
“Ha az Adobe vagy bármely más vállalat ellen indulnak, akkor olyan információkat keresnek, amelyeket gyorsan pénzzé tehetnek, de ha találnak néhány igazán jó nulladik napot az Adobe Readerben vagy a ColdFusionben, az a jövőbeni támadásokhoz vezethet több ügyfélnél is” – mondja Benjamin Johnson, a Carbon Black technológiai igazgatója. “Mindenkinek van Adobe-ja … ez egy olyan hatalmas felület, amit meg lehet célozni.”
A kihasználások értékesítése jövedelmező, például egy Adobe-alkalmazásért több tízezer dollárt is el lehet adni. “A forráskód a pénzkereső anyag — ez segít megtalálni a sebezhetőségeket az Adobe termékekben. Például az Adobe Reader egyetlen nulladik napi exploitja 50 000 dollárt érhet a feketepiacon” – mondja Timo Hirvonen, az F-Secure vezető kutatója.
Az Adobe forráskódjának felhasználása hatékonyabb módot biztosítana a támadóknak az információlopásra. “A múltban nagyon könnyű volt tömeges támadásokat végrehajtani – emberek millióit lehetett elkapni adathalászattal és keyloggerekkel” – mondja Dan Hubbard, az OpenDNS technológiai igazgatója. “De most sokkal kifinomultabbnak tűnik, és sokkal tervszerűbb dolgokat csinálnak, így ahelyett, hogy az ügyfél és az emberi elem után mennének, az infrastruktúra néhány gyenge pontjára mennek, és visszahívják az adatokat, és kitalálják, hogy mit tegyenek …. Ez mindenképpen érdekes változás a műveletekben.”
Ha a legrosszabb forgatókönyv válik valóra, és a támadók valóban megmérgezték az Adobe forráskódját, majd szétosztották azt az Adobe ügyfelei között, akkor a szoftvercég inkább csak eszköz volt a támadók számára. “Ha az ellopott forráskód valóban a ColdFusionre és az Acrobatra vonatkozik, akkor ez webkiszolgálók ezreit teheti nyitottá a tetszés szerinti kompromittálásra, és megkönnyítheti a végfelhasználói rendszerek kompromittálását. Ez a betörés ijesztő emlékeztető arra, hogy minden szoftvercégnek résen kell lennie, mivel ők is ugródeszkát jelenthetnek más célpontok felé” – mondja Chris Petersen, a LogRhythm technológiai igazgatója és társalapítója.
Az Adobe-támadás teljes képének kiderülése – ha egyáltalán kiderül – még eltarthat egy ideig. Biztonsági szakértők szerint ha az Adobe-nak valóban hat hétig tartott, mire észrevette a támadást, akkor a szoftvercég kezdettől fogva hátrányban van. “Ennyi előnyük volt a rosszfiúknak” – mondja Johnson. A szakértők szerint a kulcs mindig a gyors észlelés, hogy csökkentsük a károkat.
Bala Venkat, a Cenzic alkalmazásbiztonsági szolgáltató marketingvezetője egyetért. “A folyamatban lévő vizsgálatok alapján úgy tűnik, hogy ez a betörés az Adobe-nál valójában valamikor augusztusban kezdődött, és szeptember végén folytatódott. Az ilyen késedelmes észlelési és reagálási mechanizmus különösen riasztó. A szervezeteknek biztosítaniuk kell a folyamatos biztonsági felügyeleti folyamatot az összes termelő alkalmazásukban, hogy valós időben észleljék és jelentsék a sebezhetőségeket, amikor a jogsértés bekövetkezik. Ha ezt a politikát szigorúan érvényesítik, akkor az ilyen betöréseket sokkal gyorsabban és hatékonyabban lehetett volna megfékezni és a károkat minimalizálni. “
Egy másik aggodalomra ad okot, hogy a támadók már előrehaladtak-e az Adobe ügyfeleinek megcélzásában. “Az egyik aggodalmam az ügyfélkörön belüli oldalirányú mozgás” – mondja Johnson, a Carbon Black munkatársa -, ahol a támadók már az Adobe ügyfeleinek adatlopása céljából adathalászatot folytattak.”
“Eltart még egy ideig, amíg megismerjük ennek teljes körű következményeit” – mondja.”
És az Adobe nem az utolsó áldozata ennek a kiberbűnözői bandának”: Biztonsági szakértők szerint további leleplezésekre lehet számítani a többi megtámadott szervezetről.
Valami hozzászólás a cikkhez? Kérjük, kattintson az alábbi “Hozzászólás hozzáadása” gombra. Ha közvetlenül szeretne kapcsolatba lépni a Dark Reading szerkesztőivel, küldjön nekünk üzenetet.
Kelly Jackson Higgins a Dark Reading ügyvezető szerkesztője. Díjnyertes veterán technológiai és üzleti újságíró, aki több mint két évtizedes tapasztalattal rendelkezik különböző kiadványok, többek között a Network Computing, a Secure Enterprise … Teljes életrajz megtekintése